barres intruses et mails piegeurs

[dsm11]

Bonjour,

 

Quelques avatars d'utilisation ces dernières semaines. Ai-je fait le nécessaire ?

Sinon par où aurait-il fallu commencer ?

 

Navigation très ralentie et ouvertures intempestives de fenêtres I.E. alors que j'utilisais Firefox.

Barres de navigations non demandées qui se sont installées et qui s'imposent dans l'utilisation du navigateur.

Fichier suspect et programme espion repéré par un scan et nettoyés.

Mail piège enfin dans ma messagerie gmail, titré "Lis mon message" et provenant d'une adresse d'un de mes contacts qui disait "Hey, je t'ai envoyé un message protégé à "lien du site pourvousetmoi.com" et j'ai bêtement tapé mon mot de passe de messagerie, ce n'est qu'à la demande de mon numéro de téléphone (mobile... les 2 premiers chiffres 06 étant préinscrits dans la fenêtre ouverte) que j'ai eu un doute et que j'ai lancé une recherche sur "pourvousetmoi.com" Merci aux internautes qui avaient déjà posté à ce sujet dans les forums de google.

 

Cela fait beaucoup en peu de temps.

 

J'ai supprimé des "modules complémentaires" de "outils" de la barre des menus de firefox.

J'ai supprimé des logiciels dans "ajout/suppression de programmes" du panneau de configuration (softonic, bing, conduit engine, search settings et pet-être d'autres mais je n'ai pas noté)

Je suis passée à Firefox 4.

J'ai supprimé "clikpotato" fichier ou logiciel (je ne sais plus) qui m'a été signalé dangereux suite à un scan (mais je ne sais plus quel scan... Avast, ou Mac Afee, ou Trendmicro HouseCall?)

J'ai fait un scan en ligne avec Trendmicro Housecall qui a permis de nettoyer 1 menace SH052.exe et 1 programme espion Kill211.exe

J'ai utilisé TuneUp utilities : mais "réparer maintenant" ne réussit pas à supprimer tout ce qui ne colle pas.

J'ai prévenu tous mes contacts que je m'étais fait piégée par un mail en provenance d'une adresse de l'un d'eux et j'ai modifié mon mot de passe de messagerie gmail.

Je n'arrivais pas cependant à emp^cher "sweetim" de s'imposer en page d'accueil comme moteur de recherche jusqu'à il y a quelques instants...

 

J'ai évité d'appeler à l'aide sans m'informer et sans essayer de me débrouiller mais je n'en peux plus de tout ce temps passé à "lutter" toute seule.

Y a-t-il quelqu'un de compétent qui puisse m'aider à vérifier si tout est ok et si possible me conseiller pour améliorer les choses sur mon pc et sur la marche à suivre régulièrement pour sa maintenance. J'ai des outils que je ne sais pas utiliser.

 

Merci de votre attention

P.S. : le rapport de Trendmicro HouseCall date de quelques jours et j'ai fait des modifications ensuite, dois-je en refaire un pour commencer ?

[Tibonhomme]

Bonsoir dsm11,

 

Nous allons regarder ce qui se passe sur ton ordinateur.

En fonction de ce qui apparaîtra, je te réorienterai éventuellement vers la section appropriée.

 

 

Suis très attentivement, s'il te plaît, les recommandations ci-dessous puis exécute la procédure indiquée à la suite.

 

Recommandations préalables

Comment suivre et répondre

• En haut de ce message, clique sur le bouton puis sélectionne "Notification immédiate" puis clique sur "Soumettre". Tu recevras ainsi un e-mail de notification à chaque nouveau message posté dans ce sujet.
   
  
• Pour répondre, utilise le bouton et uniquement celui-là.

 

 

A faire au préalable : dans TuneUp Utilities, remet tous les paramètres par défaut (ceux que tu as modifiés) puis désinstalle TuneUp Utilities.

Ce type de programme ne provoque que des ennuis !

 

 

J'ai des outils que je ne sais pas utiliser.

 

Alors il ne sert à rien de les avoir, n'est-ce pas !?

En plus tu risques d'endommager ton système avec des outils que tu ne maîtrises pas.

Quels sont ces outils ?

 

 

OTL - Analyse

 

Télécharge OTL de Old Timer :

OTL.exe :

ou

OTL.com :

ou

OTL.scr :

 

• Enregistre-le sur le Bureau - ne le lance pas maintenant
   
  
• Crée un nouveau document texte sur le bureau (clic droit sur le bureau / Nouveau / Document texte)
  
• Ouvre-le
  
• Copie le contenu de la fenêtre "Citation" ci-dessous pour le coller dans le nouveau document texte :
   

  netsvcs
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %SYSTEMDRIVE%\*.exe
  /md5start
  explorer.exe
  userinit.exe
  winlogon.exe
  wininit.exe
  /md5stop
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  %systemroot%\system32\drivers\*.sys /90
  %systemroot%\System32\config\*.sav
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
  SAVEMBR:0
  CREATERESTOREPOINT

• Renomme ce document texte scan.txt (pas autrement) et enregistre-le sur le bureau
   
  
• Ferme toutes les applications en cours
  
• Double clique sur OTL.exe (ou OTL.com ou OTL.scr) pour le lancer (sous Vista -Windows 7, lancer OTL par clic droit / Exécuter en tant qu'administrateur)
   
  
   
  
• 1[/size] - Coche la case devant Tous les utilisateurs
  Sous Vista - Windows 7 64 bit, cocher également la case Avec analyse 64bit
  
• 2[/size] - Dans le cadre Registre approfondi coche le bouton Avec liste blanche
  
• 3[/size] - Coche les cases devant Recherche Lop et Recherche Purity
  
• 4[/size] - Coche le bouton Rapport standard
  
• 5[/size] - Fais un double-clic dans le cadre sous
   
  
• Une fenêtre OTL s'ouvre
   
  
   
  Clique sur OK
  
• A partir de la nouvelle fenêtre qui s'ouvre, recherche et sélectionne le fichier scan.txt précédemment enregistré, puis clique sur Ouvrir pour en insérer le contenu
   
  
• Clique sur le bouton
  
• Laisse l'outil travailler sans l'interrompre
  
• A la fin de l'analyse un rapport s'ouvre, fermer cette fenêtre
  
• Le second rapport est situé dans la barre des tâches, le fermer également
  
• Ces 2 rapports OTL.Txt et Extras.Txt sont enregistrés sur le bureau.

 

 

Les rapports étant longs, je vais te demander de les héberger et de copier les liens.

 

• Rends-toi sur Ci-joint.fr :
   
  Clique sur Parcourir... puis sélectionne OTL.Txt, puis clique sur "Cliquez ici pour déposer le fichier"
  Un lien te sera indiqué, qu'il faudra copier-coller dans ta réponse.
   
  Fais de même avec le lien pour Extras.Txt
   
  
• Rends-toi ensuite sur Virus Total :
   
  Clique sur Parcourir... et sélectionne le fichier PhysicalMBR.bin puis clique sur Send File
  Si un message t'avertit que le fichier a déjà été analysé, clique sur "Reanalyse"
   
  Il faudra copier-coller le lien vers le résultat dans ta réponse.

 

 

Sont donc attendus :

- Le lien Ci-joint vers le rapport OTL.Txt

- Le lien Ci-joint vers le rapport Extras-Txt

- Le lien vers le rapport d'analyse Virus total pour le fichier C:\PhysicalMBR.bin

 

 

A te lire

Modifié le 1 mai 2011 par Tibonhomme

[dsm11]

Bonsoir Tibonhomme,

 

Merci à toi de venir à mon secours !

 

J’ai lu attentivement toute la procédure, je vais essayer pas à pas. Mais les préalables me posent déjà question, je suis désolée.

 

1 – petit détail :

 

En haut de ce message je n’ai pas le bouton « Suivre ce sujet » mais le bouton « Arrêter de suivre ce sujet » aussi je ne vois pas comment sélectionner « Notification immédiate »

 

2 – Les outils que je ne sais pas utiliser et que je ne prends pas le risque d'utiliser, et ça vaut peut-être mieux ainsi :

- toute la déclinaison de TuneUp Utilities : il y a 16 TuneUp dans "tous les programmes" je n'ai utilisé que "Maintenance en un clic" (détail au paragraphe 5-)qui m'avait été conseillé, mais puisque je vais désinstaller TuneUp, quelle maintenance faut-il faire? et avec quoi ?

- des petits outils comme Unlocker qui propose "Débloquer" , USB-set qui propose "Vacciner": quand une de leurs fenêtres s'ouvre je n'ose pas m'en servir.

- les outils du panneau de configuration de Windows dans "Performances et maintenance" pour"libérer de l’espace sur votre disque dur" en "nettoyant"(jamais utilisé) et pour "réorganiser les éléments sur votre disque dur afin que les programmes s’exécutent plus rapidement" en "défragmentant" :

quand faut-il les utiliser ? Avec "nettoyer" que se passera-t-il exactement? Pour ce qui est de "défragmenter" quelqu'un me l'a fait une fois, j'ai cru comprendre que rien n'était perdu, seulement déplacé et rassemblé, mais je ne sais pas quand il faut le refaire.

- l'anti-virus Avast qui fonctionne tout seul et de façon permanente je crois et qui se signale quand il met à jour le base de données virale.

- et Mc Afee Security Scan Plus version gratuite, qui semble fonctionner puisqu'il fait un scan tout seul de temps en temps et me signale parfois une attaque, mais qui n'a pas l'air suffisant puisque Trend Micro HouseCall me trouve des "bestioles malfaisantes" qui se sont tout de même installées !

 

3 - A tout hasard, en attendant, j'avais relancé un scan complet HouseCall de l'unité centrale : ça ne s'est pas arrangé depuis le précédent scan.

Résultat : 9 programmes espions, 3 chevaux de Troie et 6 fichiers suspects.

J'ai fait ce que proposait HouseCall : "éliminer" pour les programmes espions et chevaux de Troie" et "ignorer" pour les fichiers suspects mais aurait-il fallu éliminer aussi les fichiers suspects, ce que j'avais fait la fois précédente.

 

Comme je n'ai pas trouvé comment avoir un rapport de HouseCall à copier, [je voudrais savoir s'il est possible d'avoir un rapport d'HouseCall] j'ai noté tous les numéros de fichiers.

Ensuite j'ai recherché les 6 fichiers suspects, dans "tous les fichiers" : précision ils sont tous dans "C:\Systeme Volume Information-restore" et ce sont:

- 3 fichiers qui ont à voir avec ShopperReports de l'entreprise SmartShopper version 3.1.22.0 ce sont

A0043413.dll = TROJ GEN.R47C2DD ; A0043420.dll = TROJ GEN.R3EC2C1 et A0043421.dll = HeurSpy Zango-3

- 2 fichiers qui ont à voir avec l'entreprise Pinball Corporation

A0031322.exe = HeurSpy Zango-3 (Installer) et A0043298.exe = HeurSpy Zango-3 (ClickPotato Uninstaller)

- 1 fichier pour lequel je ne sais pas

A0043416.dll = TROJ GEN.R47C2D2

 

Au début je les ai trouvés tous les 6, puis quand j'ai voulu les revoir pour compléter dans le présent message :

quatre des six suspects ne sont plus trouvés alors que je n'ai rien fait pour les supprimer (???????) ce sont :

A0043298.exe, A0043413.dll, A0043416.dll, A0043420.dll, Comment ont-ils été effacés ? Par quoi ? Ou bien sont-ils rendus invisibles mais encore présents?

 

Reste seulement deux fichiers encore trouvés avec "rechercher dans tous les fichiers", ce sont : A0031322.exe et A0043421.exe

 

4- J'ai deux disques durs externes reliés à l'unité centrale. Est-ce que je dois les allumer pour la procédure que vous m'avez indiquée ? Ou pas ?

Ils ne sont pas mis sous tension en permanence. Je n'ai pas fait de sauvegarde sur ces disques (qui sont là pour ça) depuis plusieurs mois de peur de transférer des choses malsaines. Est-ce qu'ils peuvent avoir été infectés en sens inverse, je veux dire en recopiant sur l'unité centrale, un fichier présent sur un disque externe ?

 

 

5 - En ce qui concerne TuneUp Utilities je ne comprends pas ce que je dois faire avant de le désinstaller.

Je n’ai utilisé que « Maintenance en un clic » qui propose :

- examen du registre (recherche de renvois invalides dans le registre),

- examen des applications (recherche les fichiers manquants requis par les aplications),

- examen de la structure du registre (vérifie l’intégrité du registre et identifie les éventuelles erreurs structurelles)

- recherche des fichiers temporaires pouvant être supprimés »

et qui permet seulement en cliquant sur « réparer maintenant » de corriger les problèmes identifiés. Ce que j’ai fait.

 

Est-ce que je pourrais savoir si cette "Maintenance en un clic" est néfaste ?

 

Je ne vois pas comment faire machine arrière. Que dois-je faire alors ? Procéder à la désinstallation directement ???

 

Est-ce que je le désinstalle à partir de « tous les programmes » et « désinstaller » de tuneUp Utilities.

Ou bien à partir du panneau de configuraztion par « ajout/suppression de programme ? »

A savoir : dans « tous les programmes » TuneUp Utilities apparaît plusieurs fois.

 

Merci pour votre patience

[Tibonhomme]

Bonjour dsm11,

 

’ai lu attentivement toute la procédure, je vais essayer pas à pas.

Sois rassurée, ce n'est pas compliqué.

Si tu as un doute à un moment quelconque, stoppe la procédure et poste un message.

 

Pour Tune Up Utilities :

Dans l'interface principale, clique sur "Annuler les modifications", cela ouvre TuneUp Rescue Center.

Sélectionne chaque sauvegarde affichée dans la partie droite, puis clique sur Annuler les modifications.

Il faudra redémarrer l'ordinateur.

Si tu n'y parviens pas, ce n'est pas grave, passe à la désinstallation.

Désinstalle ensuite par Ajout / Suppression de programmes

 

Désinstalle également McAfee Security Scan Plus (inutile) par Ajout / Suppression de programmes.

Il y a bien mieux en outil de scan à la demande.

 

Ne fais plus de scan en ligne pour le moment.

 

Unlocker : sert à déverrouiller un fichier récalcitrant. C'est un programme dont tu auras rarement besoin. Tu peux le conserver.

 

USB-Set de Loup blanc : outil de sécurisation passive contre les infections par support amovible, sert à vacciner les lecteurs et à désactiver la fonction Autorun. Conserve de côté.

 

Les outils Windows : laisse de côté pour le moment. Ce n'est pas la priorité. En ce qui concerne la défragmentation, il vaut mieux utiliser un programme autre.

 

Branche les disques externes et mets-les sous tension.

Oui, une infection peut parfaitement se propager d'un support à un autre.

 

 

Applique la procédure OTL, s'il te plaît, cela permettra d'avoir une vue détaillée de ta machine.

 

 

A te lire

[dsm11]

Bonsoir Tibonhomme ! Tes réponses et explications sont limpides ! ça fait du bien. Mais sur Virus Total, une fois cliqué sur parcourir je n'ai pas trouvé où sélectionné le fichier PhysicalMBR.bin

Peus-tu me dire où il se trouve stp ?

 

Voici le résultat de la procédure OTL

 

hébergement fichier OTL.Txt

Cijoint.fr - Service gratuit de dépôt de fichiers

hébergement fichier Extras.Txt

Cijoint.fr - Service gratuit de dépôt de fichiers

 

J'ai suivi les instructions à la lettre : seule erreur de ma part mes disques durs externes, je les ai branchés et enclanché l'interrupteur principal sur la prise de courant mais je n'ai pensé à appuyer sur les 2 interrupteurs de ces disques qu'au moment où je venais de lancer l'analyse avec OTL : je l'ai fait dans la seconde où je me suis aperçue de l'omission, l'analyse venait de commencer depuis seulement quelques secondes, j'espère que ça ira quand même...

S'il faut que je recommence, dis-le moi.

 

Juste un doute sur la réussite de la restauration des modifications dans TuneUp Rescue Center qui est resté bloqué longtemps : mais j'ai attendu et après 1/4h environ j'ai pu fermer la fenêtre.

J'ai redémarré l'ordinateur après cette opérations puis également après les désinstallations de TuneUp Utilities et de Mc Afee Security Scan Plus par Ajout/Suppression de programmes.

Tout cela avant de passer à la procédure OTL.

 

Juste une question : est-ce que fermer toutes les applications en cours avant le lancement de OTL.exe, cela comprenait le navigateur Firefox ? Je l'ai fermé et je ne l'ai rouvert qu'après l'analyse pour pouvoir cliquer sur les liens pour héberger les rapports. Mais aurais-je pu le laisser ouvert ?

 

Que ressort-il de ce début ?

[Tibonhomme]

Bonsoir dsm11,

 

Tes réponses et explications sont limpides !

Je fais en sorte que, mais ce n'est pas forcément toujours le cas, donc n'hésite pas à poser des questions en cas de doute ou d'incompréhension.

 

Mais sur Virus Total, une fois cliqué sur parcourir je n'ai pas trouvé où sélectionné le fichier PhysicalMBR.bin

Peus-tu me dire où il se trouve stp ?

Désolé, je n'ai pas été assez précis. Le fichier se trouve à la racine du disque, ici : C:\PhysicalMBR.bin

 

Je te remercie, j'ai modifié ma procédure afin qu'elle soit plus explicite.

 

Bien pour les autres opérations, tu t'es débrouillée de très bonne façon.

 

est-ce que fermer toutes les applications en cours avant le lancement de OTL.exe, cela comprenait le navigateur Firefox ? Je l'ai fermé et je ne l'ai rouvert qu'après l'analyse pour pouvoir cliquer sur les liens pour héberger les rapports. Mais aurais-je pu le laisser ouvert ?

Il est toujours préférable de fermer toutes les applications (navigateurs compris) lorsque l'on lance un outil d'analyse. Dans le cas de OTL, ce n'est pas indispensable et ne gêne en rien l'outil, du moins dans la phase d'analyse.

S'il y a correction effectuée avec OTL (ou avec d'autres outils spécifiques), oui il faut impérativement fermer toutes les applications (y compris navigateurs) en cours.

 

Pour ce qui est des rapports, le les ai juste survolés, cela ira comme cela pour le moment. Ne t'inquiète pas.

 

Je regarde en détail (cela prendra un peu de temps) et te donne la suite de la procédure, à continuer ici ou dans une autre section si nécessaire.

 

@+

[dsm11]

Si j'avais mieux relu ton premier message concernant la procédure, jusqu'à la fin, au lieu de m'arrêter au paragraphe Virus Total, j'aurais pu voir que la localisation du fichier PhysicalMBR.bin était dans C: on ne voit pas toujours ce que l'on a sous le nez

 

 

Voici le rapport d’analyse Virus Total pour le fichier C:\PhysicalMBR.bin

 

VirusTotal - Free Online Virus, Malware and URL Scanner

 

Merci pour les petites phrases rassurantes en plus de la technique !

 

J'ai un petite difficulté pour "écrire" : depuis que j'ai commencé à poster dans ce forum le pointeur de ma souris est devenu "l'homme invisible", pas évident à utiliser, même si on peut se débrouiller, cela m'était déjà arrivé parfois dans ma messagerie, je ne sais pas comment cela s'était rétabli : est-ce un indice de quelque chose de précis qui puisse être corrigé assez facilement ?

[Tibonhomme]

Bonsoir dsm11,

 

Quelques premières remarques à la lecture des rapports :

• Ton antivirus Avast n'est pas à jour : la dernière version est la 6.0.1091 (il me semble)
  
• Internet Explorer n'est pas à jour, ce qui représente une faille de sécurité. Ce navigateur doit toujours être maintenu à jour, même s'il n'est pas le navigateur par défaut, Windows et d'autres programmes l'utilisant pour leurs propres mises à jour.
  
• Des versions obsolètes de Java sont présentes, ce qui représente également des failles de sécurité.
  
• 3 logiciels de P2P : Bit Torrent, MicroTorrent, Azureus, soit 3 moyens rapides d'attraper des infections !
  Je t'invite à lire l'article suivant :
  Les risques sécuritaires du Peer To Peer par Ogu : Les risques sécuritaires du peer-to-peer en 10 points : Discussions, prévention, protection[/b]
  
• Attention à l'espace vide restant sur C:, en-dessous de 15% le système et/ou les applications peuvent avoir des difficultés à fonctionner.

 

N'effectue aucune modification sur le système ou mise à jour pour le moment.

 

 

Je passe au plus important :

Ton PC est effectivement infecté par plusieurs types de malware : Toolbars diverses, Adware, Keylogger (ce n'est pas le plus coriace d'entre-eux) + Trojan (cheval de Troie).

 

Tes données personnelles sont compromises. Réduis ta navigation sur le Net au stricte minimum (dont ce forum), n'effectue aucune transaction sur le Net, ne te connecte pas à des sites traitant d'informations personnelles ou confidentielles (banques, impôts, santé, mutuelle, serveur d'entreprise etc...), n'utilise pas de messagerie ou d'échange sur des sites sociaux, tant que le PC n'est pas désinfecté.

 

S'il ne s'agissait que de traces d'infection résiduelles sans danger, je t'aurais donné la marche à suivre dans cette section. Mais là ce sont plus que des traces, tu vas donc te rendre dans la section appropriée.

Ne te tracasse pas non plus, il n'y a rien de catastrophique et qui ne puisse être traité.

 

 

Je vais de demander de suivre la procédure suivante, s'il te plaît :

 

• Crée un nouveau sujet dans cette section du forum : ses-et-eradication-malwares-f51.html
   
  
• En titre met : Infections diverses : Adware, Toolbars, keylogger + Trojan
  
• Explique en quelques lignes (pas trop, hein) ce que tu constates comme dysfonctionnement
  
• Copie-colle le lien vers ce sujet (le helper qui te prendra en charge aura toutes les infos nécessaires)
  
• Copie-colle de nouveau les liens vers :
  - le rapport OTL.Txt
  - le rapport Extras.Txt
  - le rapport d'analyse de Virus Total

 

Sois patiente, il y a pas mal de sujets en cours de désinfection ou non encore traités, et les Helpers de ce forum sont des bénévoles qui font au mieux pour aider les autres en fonction de leur disponibilité.

 

Si tu n'as pas reçu de réponse au bout de 48h-72h, poste une message de rappel dans le sujet "On m'a oublié !" (en haut de la section de désinfection) avec un lien vers ta demande.

Sinon, signale-le moi par messagerie privée.

 

Tu vas retrouver un PC impeccable dans très peu de temps.

 

Edit effectué pour ajout.

 

@+

Modifié le 3 mai 2011 par Tibonhomme

[dsm11]

Merci pour cette réponse détaillée.

Dommage de ne pas pouvoir continuer avec ton aide, j'ai beaucoup apprécié vraiment !!

 

Je ne sais pas trop comment aborder les choses ailleurs, quoi évoquer avec concision, d'autant que je ne suis pas bloquée dans l'utilisation de mon pc pour l'instant.

 

En tout cas un très grand merci pour tout jusqu'ici.

Je vais faire ce que tu m'as conseillé.

 

Bonne soirée !

[Tibonhomme]

Bonsoir,

 

Merci, j'apprécie !

 

Je ne sais pas trop comment aborder les choses ailleurs, quoi évoquer avec concision

Fais juste un résumé de ton 1er message, cela sera suffisant, d'autant plus que le helper aura accès à toutes les informations à partir du moment où tu copie-colle le lien vers ce sujet.

 

Si tu as des doutes ou des soucis, n'hésite pas à poser des questions, que ce soit ici (pour le moment) ou dans ton nouveau sujet lorsqu'il sera pris en charge, pas de gêne.

 

@+